Системные права доступа

Права доступа настраиваются в разделе "Роли" → закладка "Права доступа".

Права указываются для каждой категории прав отдельно.

Совет

Применение прав распространяется по иерархии сверху вниз: права могут задаваться глобально на любом уровне (такой уровень будет считаться родительским), а переопределяться - на дочернем.

Виды прав

• Выбрать все (Полные): совокупность всех доступных прав. Автоматически включает права, доступные на вкладке. Например, создание, чтение, редактирование, восстановление, назначение бизнес-ролей и удаление.

• Чтение: просмотр существующих объектов.

• Создание: создание новых объектов.

• Редактирование: изменение существующих объектов.

• Удаление: удаление существующих объектов.

• Восстановление: Восстановление удаленных объектов (для типов активов).

• Назначение бизнес-ролей: назначение пользователей на бизнес-роли (для типов активов).

Настройка ресурсов

Ресурсы доступа разделены на несколько категорий, для каждой из которой настройка производится в соответствующей закладке раздела "Роли" - вкладка "Права доступа" (Рисунок 1).

Чтобы настроить ресурсы доступа:

1. Убедитесь, что открыт раздел "Роли" и активна вклада "Права доступа". Далее откройте необходимую закладку.

   • Некоторые ресурсы объединены в группы. Для настройки прав внутри группы - разверните ее, нажав на кнопку . Также развернуть/свернуть все группы одновременно можно с помощью кнопки Развернуть/Свернуть соответственно в правом верхнем углу таблицы.

   • При выборе действия в родительской группе, права применяются ко всем дочерним группам и ресурсам. Права внутри дочерних групп могут переопределяться.

2. Проставьте флаги у тех ресурсов системы, к которым необходимо предоставить доступ (Рисунок 1).

   • При необходимости сбросьте права доступа до последнего сохраненного состояния с помощью кнопки (отображается при наведении на строку ресурса).

3. Нажмите кнопку "Сохранить" в правом верхнем углу экрана.

Примечания:

• Ограничения действуют только в случае, если пользователь не является Суперпользователем.

• Кнопки "Сохранить/Удалить" при отсутствии соответствующих прав на создание/изменение/удаление будут скрыты в карточке записи актива.

• Модель прав доступа обновляется вместе с обновлением модели данных.

Рисунок 1 – Пример отображения ресурсов доступа к разделам и функциям системы - закладка "Модель данных"

Виды ресурсов

• Система

• Типы активов

• Модель данных

• Справочники

• Безопасность

• Менеджмент активов

• Бизнес-процессы

• Менеджмент справочников

Система

Ресурсы позволяют разграничить доступ к одноименным разделам системы, а также дополнительно:

• Библиотеки. Определяет доступ к разделу "Библиотеки" и настройкам внутри него.

• Потоки выполнения. Определяет доступ к разделу "Потоки выполнения" и настройкам внутри него.

• Управление журналом аудита. Определяет доступ к разделу "Журнал" и настройкам внутри него.

• Параметры системы. Определяет доступ к разделу "Параметры системы" и настройкам внутри него.

• Операции. Определяет доступ к разделу "Операции" и настройкам внутри него.

• Запуск операций. Определяет доступ к возможности вручную запускать необходимые операции.

• Колонкам по умолчанию, которые будут использованы в выдаче таблицы результатов поиска.

• Каталог доступа. Определяет доступ к разделу "Каталог доступа".

Типы активов

Ресурсы позволяют разграничить доступ к каждому типу актива или его атрибутам в отдельности. Типы активов отображаются в виде иерархического дерева с учетом наследования. Ограничение доступа к определенному типу актива влияет на:

• Отображение дерева активов в разделах "Каталог" и "Каталог связей" (показываются только доступные для чтения типы активов);

• Отображение активов в разделе "Поиск по данным";

• Загрузку связанных активов на графе связей;

• Доступ к CRUD операциям над активами согласно роли. Проставление флагов у атрибутов типов активов не влияют на доступ к операциям над атрибутами актива.

Столбец "Назначение бизнес-ролей" предоставляет доступ к назначению других пользователей на бизнес-роли для всех активов выбранного типа актива.

Примечание

Предоставление доступа к дочерним типам активов не дает право на доступ к корневым типам активов

Модель данных

• Администрирование моделей - группа прав Администрирование модели качества данных определяет доступ к разделу Качество данных. Вложенные ресурсы определяют доступ к:

  • Простому режиму создания правил (определяется ресурсами: Категории, Наборы правил, Назначения, Правила качества, Функции)

  • Закладке "Правила" (определяется ресурсами: Категории, Правила качества, Функции)

  • Закладке "Наборы правил" (определяется ресурсами: Категории, Наборы правил, Правила качества, Функции)

  • Закладке "Назначение правил" (определяется ресурсами: Категории, Наборы правил, Назначения, Правила качества, Функции)

  • Закладке "Функции" (определяется ресурсом Функции)

  • Закладке "Фазы выполнения" (определяется ресурсами: Категории, Наборы правил, Назначения, Правила качества, Функции)

  • Закладке "Категории правил качества" (определяется ресурсом Категории)

• Модель справочников. Определяет доступ к перечислениям, источникам данных, модели справочников, единицам измерения, а также возможности их импорта/экспорта.

• Администрирование модели данных DG. Определяет доступ к модели типов активов/связей и разделу "Управление активами" и добавляет возможность создавать шаблон отображения графа связи.

• Администрирование информационных систем. Определяет доступ к настройке информационных систем и сканеров, а также к разделу "Информационные системы".

• Администрирование модели бизнес-процессов. Определяет доступ к настройке модели бизнес-процессов и разделу "Бизнес-процессы".

• Статусная модель. Определяет доступ к управлению статусами активов и настройке правил переходов между статусами, а также к разделу "Статусная модель".

• Бизнес-роли. Определяет доступ к настройке модели бизнес-ролей и разделу "Бизнес-роли".

Справочники

Ресурсы позволяют разграничить доступ к каждому справочнику или его атрибутам в отдельности.

Безопасность

Группа ресурсов "Администрирование подсистемы безопасности" позволяет разграничить доступ к разделам, отвечающим за безопасность системы:

• Пользователи. Определяет доступ к разделу "Пользователи" и настройкам внутри него.

• Роли. Определяет доступ к разделу "Роли" и настройкам внутри него при условии, что включено право Метки безопасности на чтение.

• Метки безопасности. Определяет доступ к разделу "Метки безопасности" и настройкам внутри него.

• Администрирование замещений пользователей. Определяет доступ к секции "Заместители" раздела "Пользователи".

• Группы пользователей. Определяет доступ к разделу "Группы пользователей" и настройкам внутри него при условии, что включено право Роли на чтение.

  • Право на чтение предоставляет доступ к разделу "Группы пользователей".

  • Право на редактирование предоставляет доступ к созданию групп, изменению пользователей в группах, добавлению ролей на группу, удалению группы. Группы, пришедшие из LDAP, не редактируются, но доступно добавление ролей и пользователей.

  • Пользователь с доступом к редактированию Групп, Ролей, Пользователей и Меток безопасности может редактировать свои группы, роли, учетную запись.

Менеджмент активов

• Возможность назначения владельцев активов. Определяет доступ к просмотру/заданию владельца актива в карточке записи раздела "Поиск по активам".

• Пакетные операции. Определяет доступ к пакетным операциям с записями активов.

• Отключить лимит в 30 записей на пакетные операции. Отменяет ограничение на единовременную обработку до 30 записей активов за операцию.

• Отключить лимит на экспорт записей в Excel. Отменяет ограничение на возможность экспорта неограниченного числа записей в xlsx.

• Возможность сохранять результаты профилирования. Предоставляет права на сохранение результатов профилирования через Rest-сервисы, URL адреса которых настраиваются в параметрах системы.

• Связывание объектов. Позволяет сохранять, обрабатывать и применять предложения для создания связей между активами.

Ресурсы безопасности: "Принудительный перевод статусов активов" доступен для управления в случае, если в файле backend.properties включен параметр com.unidata.mdm.data.status.manual.transitions.enabled (не отображается в Параметрах системы).

Бизнес-процессы

Группа прав Бизнес-процессы настраивает права на действия для каждого бизнес-процесса.

• Удаление процесса. Право дает доступ на удаление бизнес-процессов.

Также у каждого существующего процесса есть список отдельных прав:

• Процессы - работа с процессами (в закладке "Процессы" раздела "Задачи");

• Задачи - работа с задачами (в закладке "Задачи" раздела "Задачи");

• Выбор исполнителя - выбор исполнителя конкретной задачи;

• Переназначение задач - переназначение задач на себя или других пользователей;

• Редактирование комментариев и вложений.

Менеджмент справочников

Группа прав Менеджмент записей:

• Отключить лимит на пакетные операции с записями. Отменяет ограничение на единовременную обработку до 30 записей справочников за операцию (однако, присутствует ограничение в 50 000 записей).

• Физическое удаление. Позволяет физически удалять записи справочников.

Группа прав пользовательские пакетные операции определяет доступ к:

• Импорту записей;

• Экспорту записей;

• Удалению записей.

  • При отсутствии прав - соответствующие действия ("Импорт", "Экспорт", "Удаление") будут неактивны.